Kubernetes Container Storage Interface (CSI) Driver for Network File System (NFS) の新たに開示された脆弱性は、攻撃者が NFS サーバー上の重要なディレクトリを削除または変更できる可能性があるため、セキュリティチーム間で懸念が高まっています。
CVE-2026-3864 として追跡されているこの脆弱性は、CVSS v3.1 スコア 6.5 を持ち、中程度の深刻度を示しています。この脆弱性は SentinelOne の研究者 Shaul Ben Hai によって特定され、v4.13.1 より前のすべてのバージョンの Kubernetes NFS CSI ドライバーに影響を与えます。
この脆弱性は、ボリュームアイデンティファイア内の「subDir」パラメータの処理における不適切な入力検証に起因しています。
影響を受けるバージョンでは、CSI ドライバーはユーザーが提供する入力を適切にサニタイズできません。このミスにより、攻撃者はボリュームアイデンティファイアに「../」などのパストラバーサルシーケンスを注入できます。
その結果、ドライバーはストレージ操作中に悪意のあるパスを正当なものと解釈する可能性があります。
この問題は、ボリューム削除などのルーチンなライフサイクルイベント中に特に危険になります。ドライバーがディレクトリの削除を試みると、操作されたパスに従い、意図されたストレージロケーションの外で動作する可能性があります。
この脆弱性を正常に悪用するには、攻撃者は NFS CSI ドライバーを使用する PersistentVolume を作成する権限を既に持っている必要があります。
この要件はエクスポージャーを制限しますが、特にマルチテナント環境または設定が誤った環境では、リスクを完全には排除しません。
これらの特権を取得すると、攻撃者はトラバーサルシーケンスを含む悪意のあるボリュームアイデンティファイアを作成できます。
重要なことに、この影響は Kubernetes クラスタ自体を超えており、基になる NFS インフラストラクチャ に直接影響を与え、共有ストレージに依存する複数のアプリケーションに悪影響を及ぼす可能性があります。
そのような指標は、意図されていないディレクトリを操作または削除しようとする試みを示すことがあります。
主な対策は、Kubernetes NFS CSI ドライバーをバージョン 4.13.1 以降にアップグレードすることです。このバージョンには、パストラバーサル攻撃をブロックするための適切な検証が含まれています。
この脆弱性は、ストレージコンポーネントにおける不十分な入力検証の広範なリスクを強調しています。Kubernetes の採用が増加し続ける中で、ストレージインターフェースのセキュリティ確保は、クラスタワークロードとバックエンドインフラストラクチャの両方を保護するために不可欠です。